又是华硕!!攻击者利用路由器加中间人攻击组合分发恶意软件

在2019年4月底,ESET研究人员观察到存在异常行为: 多次尝试部署Plead恶意软件。

曾经,我发过一篇关于台湾D-Link和全景公司证书被盗并被APT组织blacktech利用的文章

台湾D-Link&全景安全公司证书被盗,且被APT组织blacktech利用

而这次,同样还是这个组织,在最近又搞起了刚爆出供应链攻击的华硕。

此前的华硕事件:ShaHmer行动: 疑似华X电脑公司遭受有针对性的供应链攻击

本次安全事件又是如何开展的呢,一起来一探究竟。

*本次攻击由ESET发现并披露。

在2019年4月底,ESET研究人员观察到存在异常行为: 多次尝试部署Plead恶意软件。

具体来说,Plead后门是由名为AsusWSPanel.exe的合法进程创建和执行的。

该程序为Windows客户端,用于称为ASUS WebStorage的云存储服务。

即华硕云存储软件。

大概是这玩意

1.jpg

https://www.asuswebstorage.com/

1557887546_5cdb7a3ac3154.jpg!small

如图1所示,可执行文件由ASUS Cloud Corporation进行数字签名。

3.jpg

所有观察到的Plead样本都有以下文件名:

Asus Webstorage Upate.exe

研究表明,ASUS WebStorage 的AsusWSPanel.exe模块可以在软件更新过程中创建具有此类文件名的文件,如图2所示。

4.jpg

从原文来看,ESET恐怕并不确认为什么一个带签名正常的软件会下发恶意软件,因此他们给出下面的两个可能的攻击场景。(黑鸟觉得,第二个场景可能性超级大)

场景1 – 供应链攻击

供应链为攻击者提供了无限的机会,可以同时悄悄地破坏大量目标:这就是供应链攻击数量不断增加的原因。

对于恶意软件研究人员来说,检测和确认特定的供应链攻击并不总是那么容易; 有时没有足够的证据来证明这一点。

当研究人员考虑华硕WebStorage供应链攻击的可能性时,应该考虑以下几点:

1、带签名的ASUS WebStorage软件通过相同的更新机制进行更新

2、目前,研究员还不知道华硕WebStorage服务器被用作C&C服务器或下放恶意软件。

3、攻击者使用独立的恶意软件文件,而不是在合法软件中加入恶意功能

因此,供应链攻击的假设可能性较小,但不排除会出现的可能性。

场景2 – 中间人攻击

华硕WebStorage软件容易受到中间人攻击(MitM)的攻击。

他们的软件使用HTTP请求和传输软件更新:

下载更新并准备执行后,软件在执行前不会验证其真实性。

因此,如果更新过程被攻击者拦截,他们就能够推送恶意更新。

根据趋势科技的研究,Plead恶意软件背后的攻击者正在入侵易受攻击的路由器,甚至将它们用作恶意软件的C&C服务器。

调查发现,大多数受影响的组织都有同一生产者生产的路由器; 此外,这些路由器的管理面板可从互联网访问。

因此,研究人员认为通过路由器进行中间人攻击是最有可能的情况。

如上所述,ASUS WebStorage软件使用HTTP请求更新。具体来说,它向update.asuswebstorage.com服务器发送请求,该服务器以XML格式发送回复。

XML响应中最重要的元素是guid和链接。该GUID元素包含当前可用的版本; 

该链接元素包含用于更新的下载网址。

更新过程很简单:软件检查安装的版本是否比最新版本旧; 

如果是这样,那么它使用提供的URL请求下载文件,如图3所示。

1557887645_5cdb7a9d7f160.jpg!small

因此,攻击者可以通过使用自己的数据替换这两个元素来触发更新行为。

下面是真实观察到的场景。如图4所示,攻击者插入了一个新URL,该URL指向被入侵的gov.tw域中的恶意文件。

1557887712_5cdb7ae063f14.jpg!small

图5展示了最常用于通过入侵后的路由器向目标传递恶意载荷的方案。

1557887730_5cdb7af26a113.jpg!small

后门

部署的Plead示例是第一阶段下载程序。

一旦执行,它将从服务器下载fav.ico文件,该服务器的名称模仿官方ASUS WebStorage服务器:

update.asuswebstorage.com.ssmailer.com

1557887753_5cdb7b09448e2.png!small

1557887772_5cdb7b1c23d62.png!small

下载的文件包含PNG格式的图像和恶意软件使用的数据,该文件位于PNG数据之后。

图6描绘了恶意软件搜索的特定字节序列(控制字节),然后它使用接下来的512个字节作为RC4加密密钥,以便解密其余数据。

1557887781_5cdb7b252939b.jpg!small

解密的数据包含一个Windows PE二进制文件,可以使用绝对文件名或路径进行释放和执行操作:

%APPDATA%\Microsoft\Windows\StartMenu\Programs\Startup\slui.exe

%APPDATA%\Microsoft\Windows\StartMenu\Programs\Startup\ctfmon.exe

%TEMP%\DEV[4_random_chars].TMP

通过将自身写入“开始菜单”启动文件夹,恶意软件可以获得持久性 – 每次当前用户登录系统时都会加载该恶意软件。

释放的可执行文件是第二阶段的加载器,其目的是从其PE资源解密shellcode并在内存中执行它。

这个shellcode加载第三级DLL,其目的是从C&C服务器获取一个额外的模块并执行它。第三阶段DLL和下载的模块由JPCERT彻底分析并发布在他们的博客帖子中(称为“TSCookie”)。

https://blogs.jpcert.or.jp/en/2018/03/malware-tscooki-7aa0.html

总结

攻击者一直在寻找以更隐蔽的方式分发恶意软件的新方法。

我们看到全球各种攻击者越来越多地使用供应链和中间人攻击。

这就是为什么软件开发人员不仅要彻底监控他们的环境是否存在可能的入侵,而且要在他们的产品中实施能够抵御中间人攻击的适当更新机制,这一点非常重要。

当然,路由器也需要注意,尽量选大牌子的,文中没有提到可能被攻陷的是啥牌子的路由器。

IOC

77F785613AAA41E4BF5D8702D8DFBD315E784F3E 

322719458BC5DFFEC99C9EF96B2E84397285CD73 

F597B3130E26F184028B1BA6B624CF2E2DECAA67 

update.asuswebstorage.com.ssmailer[.]com 

www.google.com.dns-report[.]com 

参考链接:

https://www.welivesecurity.com/2019/05/14/plead-malware-mitm-asus-webstorage/

发表评论

已有 1 条评论

取消
Loading...

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php